NỘI DUNG

Hosting tốc độ cao Vietnix - tốc độ tải trang trung bình dưới 1 giây
VPS siêu tốc Vietnix - trải nghiệm mượt mà, ổn định
23/03/2024
Lượt xem

Quản trị viên WordPress được kêu gọi xóa plugin miniOrange do lỗ hổng nghiêm trọng

23/03/2024
6 phút đọc
Lượt xem

Đánh giá

5/5 - (59 bình chọn)

Gần đây, cộng đồng quản trị viên WordPress đã nhận được một thông báo khẩn cấp, khuyến cáo họ xóa plugin miniOrange khỏi các website của mình do phát hiện ra lỗ hổng bảo mật nghiêm trọng. Việc trên đã nhanh chóng gây ra những lo ngại sâu rộng trong số người dùng về mức độ an toàn khi sử dụng, hãy cùng Vietnix tìm hiểu sâu hơn về vấn đề này trong nội dung bài viết sau đây. 

Plugin Malware Scanner là gì?

Plugin Malware Scanner là một trình quét phần mềm độc hại nằm thuộc bộ plugin bảo mật của miniOrange. Với giao diện thân thiện với người dùng, plugin này có thể phát hiện hơn 50.000 file bị chèn phần mềm độc hại.

Plugin Malware Scanner là gì?
Plugin Malware Scanner là gì?

Đồng thời, cung cấp khả năng tìm kiếm toàn diện cho cả database và file WordPress, bằng cách sử dụng một kỹ thuật kết hợp nhiều lần quét từng file và table database. Điều này giúp việc làm sạch các file trở nên dễ dàng và tốt nhất.

Plugin Web Application Firewall là gì?

Plugin Web Application Firewall có tác dụng giúp website hoạt động trơn tru, tránh khỏi các mối đe dọa trực tuyến, các lỗ hổng bảo mật có thể gây ảnh hưởng đến uy tín của website đối với Google và người dùng.

Web Application Firewall là gì?
Web Application Firewall là gì?

Plugin này kết hợp cùng WAF, Malware Scanner, cơ sở dữ liệu được mã hóa, file backup, tính năng khôi phục và bảo vệ đăng nhập với 2 yếu tố xác thực, chống spam. Nhờ đó, giúp website luôn được an toàn, tránh khỏi các cuộc tấn công như brute force, malware, spam… 

Tại sao quản trị viên WordPress được kêu gọi cần xóa plugin miniOrange?

Các chuyên gia đang không ngừng khuyến khích quản trị viên gỡ cài đặt 2 plugin của miniOrage khỏi WordPress của mình để tránh bị ảnh hưởng từ lỗ hổng bảo mật nghiêm trọng. 

Theo The Hacker New đưa tin, 2 plugin WordPress của miniOrage là Malware Scanner và Web Application Firewall hiện đang gặp một lỗi bảo mật cực kỳ nghiêm trọng có tên là CVE-2024-2172. Lỗi này được phát hiện bởi Stiofan và hiện đang được đánh giá 9.8 trên thang điểm 10 trên CVSS – một hệ thống tính điểm lỗ hổng bảo mật đáng tin cậy hàng đầu hiện nay.

2 plugin của miniOrange đang gặp một lỗi bảo mật cực kỳ nghiêm trọng
2 plugin của miniOrange đang gặp một lỗi bảo mật cực kỳ nghiêm trọng

Cụ thể, lỗ hổng bảo mật này ảnh hưởng đến 2 phiên bản sau: 

  • Malware Scanner versions 4.7.2 trở về trước.
  • Web Application Firewall versions 2.1.1 trở về trước.

Điểm đáng chú ý là dù các nhà phát triển đã gỡ các phiên bản này ra khỏi kho ứng dụng WordPress từ ngày 07/03/2024, nhưng chúng vẫn có thể gây ảnh hưởng trên diện rộng vì Malware Scanner hiện đã và đang hoạt động trên 10.000 website. Trong khi đó, con số này đối với Web Application Firewall là 300. 

Báo cáo của Wordfence cho biết, nguyên nhân của sự cố có thể đến từ việc thiếu đi bước kiểm tra và xác thực trong hàm mo_wpns_init() của plugin. Điều này gây ra một lỗ hổng bảo mật nguy hiểm khi những kẻ tấn công có thể tự cập nhật mật khẩu người dùng và cấp quyền quản trị cho chính mình mà không cần thông qua quá trình xác thực. 

Hacker có thể tự cấp quyền quản trị cho chính mình và đổi mật khẩu người dùng
Hacker có thể tự cấp quyền quản trị cho chính mình và đổi mật khẩu người dùng

Sau khi chiếm được quyền quản trị, kẻ tấn công sẽ thực hiện các hành vi gây hại đến website và người dùng. Chúng có thể thao túng và thực hiện mọi hoạt động trên web như một quản trị viên, bao gồm cả việc tải lên các plugin, theme hay các file zip độc hại chứa backdoor. Thậm chí, điều hướng người dùng đến các trang web độc hại bằng cách chỉnh sửa nội dung các bài đăng và trang trên website. 

Trước đó, WordPress đã phát động cảnh báo về một plugin tương tự có tên là RegistrationMagic, mã lỗi CVE-2024-1991 và điểm CVSS đạt 8.8 trên thang điểm 10. Plugin này cũng gây ra thiệt hại lớn cho các nhà quản trị và người dùng khi có mặt ở hơn 10.000 trang web khác nhau. 

Với CVE-2024-1991, lỗ hổng này cho phép kẻ tấn công đã được xác thực tự cấp quyền cao hơn cho mình trên website. Nói một cách dễ hiểu thì hacker từ quyền hạn của thành viên hoặc người đăng ký, có thể tự nâng quyền thành quản trị viên bằng cách cập nhật vai trò người dùng. Sau đó, chúng sẽ sử dụng vai trò quản trị viên xâm nhập và kiểm soát toàn bộ website. Tuy nhiên, rất may mắn là vấn đề này đã được giải quyết vào ngày 11/03/2024 sau khi phát hành phiên bản 5.3.1.0. 

Hiện nay, WordPress được biết đến như một nền tảng quản lý nội dung mã nguồn mở phổ biến hàng đầu hiện nay khi có đến 43.1% website trên toàn thế giới tin dùng. Thông qua nền tảng này, người dùng có thể cài đặt, quản lý và đăng tải các nội dung một cách nhanh chóng và dễ dàng. 

Tuy nhiên, cũng chính vì lý do đó mà WordPress đã trở thành mục tiêu lý tưởng cho các hacker không ngừng tìm kiếm lỗ hổng và tấn công ở diện rộng. Vậy nên, bạn cần phải cẩn trọng và thường xuyên áp dụng các biện pháp bảo mật nâng cao để phòng tránh các rủi ro có thể xảy ra khi sử dụng WordPress.

Lời kết

Trong bối cảnh WordPress ngày càng trở thành mục tiêu cho các cuộc tấn công mạng, việc phát hiện và khắc phục kịp thời các lỗ hổng bảo mật, như CVE-2024-2172 và CVE-2024-1991, là hết sức quan trọng. Hy vọng bài viết trên đã giúp bạn nắm bắt thông tin kịp thời và chú trọng tăng cường bảo mật cho website của mình hơn, chúc bạn thành công!

THEO DÕI VÀ CẬP NHẬT CHỦ ĐỀ BẠN QUAN TÂM

Đăng ký ngay để nhận những thông tin mới nhất từ blog của chúng tôi. Đừng bỏ lỡ cơ hội truy cập kiến thức và tin tức hàng ngày

Chọn chủ đề :

Lê Nam

WordPress Expert
tại

Kết nối với mình qua

Kết nối với mình qua

Tăng tốc độ website - Nâng tầm giá trị thương hiệu

Banner group
Tăng tốc tải trang

95 điểm

Nâng cao trải nghiệm người dùng

Tăng 8% tỷ lệ chuyển đổi

Thúc đẩy SEO, Google Ads hiệu quả

Tăng tốc ngay

SẢN PHẨM NỔI BẬT

Black Friday Hosting & VPS

Chương trình bắt đầu sau

Giảm giá 40% hosting VPS

50 coupon mỗi ngày

Gia hạn giá không đổi

NHẬN DEAL NGAY
Pattern

7 NGÀY DÙNG THỬ HOSTING

NẮM BẮT CƠ HỘI, THÀNH CÔNG DẪN LỐI

Cùng trải nghiệm dịch vụ hosting tốc độ cao được hơn 100,000 khách hàng sử dụng

Icon
ĐĂNG KÝ NHẬN TÀI LIỆU THÀNH CÔNG
Cảm ơn bạn đã đăng ký nhận tài liệu mới nhất từ Vietnix!
ĐÓNG

ĐĂNG KÝ DÙNG THỬ HOSTING

Asset

7 NGÀY MIỄN PHÍ

Asset 1

ĐĂNG KÝ DÙNG THỬ HOSTING

Asset

7 NGÀY MIỄN PHÍ

Asset 1
Icon
XÁC NHẬN ĐĂNG KÝ DÙNG THỬ THÀNH CÔNG
Cảm ơn bạn đã đăng ký thông tin thành công. Đội ngũ CSKH sẽ liên hệ trực tiếp để kích hoạt dịch vụ cho bạn nhanh nhất!
ĐÓNG